ZSOŚS.440.107.2018.II
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096) oraz art. 12 pkt 2, art. 22, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w związku z art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pani A. P. ([...]) o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z [...] maja 2018 r. ([...]), dotyczącej udostępnienia jej danych osobowych przez Komendanta Głównego Straży Granicznej ([...] Oddział Straży Granicznej w K.) na rzecz Dyrektora Domu Pomocy Społecznej w S.,
utrzymuję w mocy zaskarżoną decyzję
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani A. P. (zam. [...]), zwanej dalej „Skarżącą”, na udostępnienie jej danych osobowych przez Komendanta Głównego Straży Granicznej ([...] Oddział Straży Granicznej w K.) na rzecz Dyrektora Domu Pomocy Społecznej w S. Skarżąca wskazała, że [...] maja 2016 r. otrzymała decyzję Zakładu Ubezpieczeń Społecznych w O. o odmowie prawa do zasiłku chorobowego za okres od [...] do [...] grudnia 2015 r. Podstawą wydania w/w decyzji było pismo Straży Granicznej w K. o przekroczeniu granicy z Obwodem [...] [...] grudnia 2015 r. skierowane do Domu Pomocy Społecznej w S. zwanym dalej „DPS” – pracodawcy Skarżącej.
W toku przeprowadzonego postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych ustalił co następuje:
- W aktach przedmiotowej sprawy znajduje się kopia decyzji z [...] maja 2016 r. wydanej przez ZUS Oddział w O., na mocy której organ odmówił Skarżącej prawa do zasiłku za okres od [...] do [...] grudnia 2015 r. W uzasadnieniu decyzji organ stwierdził m.in., że w trakcie pobierania zasiłku chorobowego z tytułu niezdolności do pracy w ww. okresie wypłacanego przez płatnika składek DPS, [...] grudnia 2015 r. Skarżąca przekroczyła przejście graniczne z Obwodem [...] w B. jako kierujący pojazdem.
- W aktach przedmiotowej sprawy znajduje się kopia protokołu kontroli prawidłowości wykorzystania zwolnienia lekarskiego od pracy przeprowadzonej [...] kwietnia 2016 r. przez Dyrektora DPS. W treści ustaleń zawartych w protokole znajduje się informacja o następującej treści: „na podstawie informacji uzyskanych od [...] Oddziału Straży Granicznej w K. nr dok. [...] z [...] kwietnia 2016r., ustalono, że w dniu [...] -12-2015 r o godzinie [...] Pani P. A. przekroczyła przejście graniczne, w roli kierowcy z Obwodem [...] w B. Odprawę przeprowadził funkcjonariusz [...]”.
- W aktach przedmiotowej sprawy znajduje się kopia wniosku DPS z [...] kwietnia 2016 r. o udostępnienie danych ze zbioru danych osobowych skierowanego do Komendanta [...] Oddziału Straży Granicznej w K. w zakresie informacji o datach przekraczania przez Skarżącą granicy Państwa z Obwodem [...] w okresach [...]-[...] maja 2015r., [...]-[...] grudnia 2015 r. oraz od [...] lutego 2016 r. do daty odpowiedzi na wniosek. Jako podstawę prawną uzasadniającą dostęp do danych osobowych, DPS wskazał art. 68 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2017r., poz. 1368). Pismem z [...] kwietnia 2016 r. Straż Graniczna udzieliła odpowiedzi na wniosek DPS .
- Generalny Inspektor Ochrony Danych Osobowych odebrał wyjaśnienia do Straży Granicznej, w treści których potwierdzono opisany wyżej stan faktyczny. Jednocześnie Straż Graniczna wskazała, iż udzielając odpowiedzi na wniosek DPS mylnie uznano, iż organem uprawnionym do otrzymywania informacji z zakresu ochrony granicy państwowej jest Dom Pomocy Społecznej. Straż Graniczna poinformowała również Generalnego Inspektora o czynnościach podjętych w celu wyeliminowania tego typu zjawisk w przyszłości.
- Generalny Inspektor nie badał kwestii związanych z odmówieniem Skarżącej prawa do zasiłku przez ZUS, ponieważ takie sprawy, zgodnie z art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2017r., poz. 459) są sprawami cywilnymi i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne.
Po ponownej analizie stanu faktycznego sprawy, w tym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zauważył, co następuje.
Podnieść należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną obowiązany jest rozstrzygać w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Stanowisko to znajduje oparcie w orzecznictwie sądowym. W szczególności należy wspomnieć wyrok Naczelnego Sądu Administracyjnego o sygn. akt I OSK 761/07, gdzie stwierdzono, że: „badając (…) legalność przetwarzania danych osobowych [Generalny Inspektor] ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem (…)”.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) zwana dalej „ustawą”, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy ich administrator legitymuje się jedną z materialnych przesłanek dopuszczalności przetwarzania, wymienionych w art. 23 ust. 1 ustawy (przez przetwarzanie, zgodnie z treścią art. 7 pkt. 2 ustawy rozumie się jakiekolwiek operacje wykonywane na tych danych, w tym ich udostępnianie).
Należy zwrócić uwagę, iż w myśl art. 18 ustawy o ochronie danych, organ ochrony danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, jedynie w przypadku, gdy stwierdzi, że doszło do naruszenia jej przepisów. Z powyższego wynika zatem, iż organ może nakazać usunięcie uchybień poprzez nakazanie udostępnienia żądanych danych, jedynie po poprzednim dokonaniu oceny zachowania administratora tych danych, który wcześniej ich udostępnienia niezasadnie odmówił, bądź pozostał w bezczynności mimo kierowanych do niego żądań. Rolą zatem organu jest zbadanie, czy administrator danych osobowych, do którego zwrócono się z żądaniem udostępnienia danych właściwie się do niego ustosunkował. To administrator danych osobowych (w tym przypadku Straż Graniczna) jest obowiązany do zbadania, czy istnieją podstawy prawne do uwzględnienia skierowanego do niego żądania w zakresie udostępnienia danych osobowych, a Prezes Urzędu Ochrony Danych Osobowych do kontroli tego procesu. Udostępnienie danych osobowych w relacji podmiot publiczny pracodawca, jak to ma miejsce w przedmiotowej sprawie, może nastąpić w przypadkach przewidzianych przepisami prawa. Nie mogą zatem mieć zastosowania inne przesłanki, z wyjątkiem wskazanych w art. 23 ust. 1 pkt. 2 „ustawy”, tj. jest to niezbędne dla zrealizowania uprawnienia bądź spełnienia obowiązku wynikającego z przepisów prawa.
DPS wnioskując o udostępnienie w/w danych jako podstawę prawną swego żądania wskazał art. 68 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2017 r., poz. 1368). Zgodnie z jego treścią Zakład Ubezpieczeń Społecznych oraz płatnicy składek, o których mowa w art. 61 ust. 1 pkt. 1, są uprawnieni do kontrolowania ubezpieczonych co do prawidłowości wykorzystywania zwolnień od pracy zgodnie z ich celem oraz upoważnieni do formalnej kontroli zaświadczeń lekarskich. Stosownie do § 5 ust. 1 pkt 2 Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 27 lipca 1999 r., w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystywania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich (Dz. U. z 1999 r., nr 65 poz. 743) kontrola prawidłowości wykorzystywania zwolnień lekarskich od pracy z powodu choroby polega na ustaleniu, czy ubezpieczony w okresie orzeczenia niezdolności do pracy nie wykorzystuje zwolnienia lekarskiego od pracy w sposób niezgodny z celem.
Odnosząc się natomiast do przepisów regulujących funkcjonowanie i uprawnienia w zakresie przetwarzania danych osobowych przez Straż Graniczną, w szczególności przekazywanie posiadanych danych osobowych, uzyskanych w związku z realizacją ustawowych zadań, należy wskazać art. 9a ustawy z dnia 12 października 1990 r. o Straży Granicznej (Dz. U. z 2017 r., poz. 2365), zgodnie z treścią którego, udzielanie informacji o osobie, uzyskanych w czasie wykonywanie czynności operacyjno-rozpoznawczych oraz w trybie, o którym mowa w art. 9 ust. 1a, dozwolone jest wyłącznie na żądanie sądu lub prokuratora, a także Szefa Krajowego Centrum Informacji Kryminalnych; wykorzystanie tych informacji może nastąpić tylko w celu ścigania karnego (ust. 1). Zakaz określony w ust. 1 nie ma zastosowania, jeżeli ustawa nakłada obowiązek lub umożliwia udzielenie takich informacji określonemu organowi albo obowiązek taki wynika z umów lub porozumień międzynarodowych, a także w przypadkach, gdy zatajenie takiej informacji prowadziłoby do zagrożenia życia lub zdrowia innych osób (ust. 2).
Po ponownym przeanalizowaniu akt przedmiotowego postępowania wynika, iż doszło do nieuprawnionego udostępnienia danych osobowych Skarżącej, co jak przyznał organ udostępniający dane, nastąpiło w wyniku błędnej wykładni pojęcia „właściwy organ”. Straż Graniczna natomiast podjęła działania mające na celu zapobieżenie wystąpienia podobnym sytuacjom w przyszłości.
W niniejszej sprawie doszło do naruszenia przepisów o ochronie danych osobowych poprzez udostępnienie danych osobowych Skarżącej osobie nieuprawnionej, niemniej z uwagi na nieodwracalność tej sytuacji organ do spraw ochrony danych osobowych nie ma podstaw do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem, w świetle art. 18 ust. 1 ustawy.
Natomiast odnośnie żądania skierowania dowodów dokumentujących podejrzenie popełnienia przestępstwa wraz z zawiadomieniem do Prokuratury Rejonowej w B., zgodnie z treścią orzecznictwa (wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 26 września 2017 r. I OSK 532/17) należy zauważyć, iż kierowanie zawiadomień o popełnieniu przestępstwa do organów ścigania należy do autonomicznych, samodzielnych kompetencji Prezesa Urzędu Ochrony Danych Osobowych, realizowanych przez niego z urzędu, a nie na wniosek osób zainteresowanych. Obowiązek wynikający z tego przepisu nie mieści się w sferze decyzyjnych, merytorycznych rozstrzygnięć organu ochrony danych osobowych, dotyczących nakazania przywrócenia stanu zgodnego z prawem. Osoba dochodząca ochrony swych praw w trybie ustawy o ochronie danych osobowych nie jest przy tym podmiotem mogącym żądać przesłania zawiadomienia do stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać w administracyjnych formach tego postępowania. Przepis art. 19 ustawy nie daje bowiem stronie roszczenia w tym względzie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych i w zw. z art. 3 § 2 pkt. 1, art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002r., Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2018r., poz. 1302) od niniejszej decyzji przysługuje stronie prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.